Vectra
Versi integrasi: 8.0
Kasus Penggunaan
- Menyerap deteksi Vectra untuk menggunakannya dalam membuat pemberitahuan Google Security Operations. Selanjutnya, di Google SecOps, pemberitahuan dapat digunakan untuk melakukan orkestrasi dengan playbook atau analisis manual.
- Lakukan tindakan pengayaan - dapatkan data dari Vectra untuk memperkaya data di Pemberitahuan Google SecOps.
Izin Produk
Untuk mendapatkan token API, Anda harus membuka halaman Profil dan menyalinnya.
Mengonfigurasi integrasi Vectra di Google SecOps
Untuk mendapatkan petunjuk mendetail terkait cara mengonfigurasi integrasi di Google SecOps, lihat Mengonfigurasi integrasi.
Parameter integrasi
Gunakan parameter berikut untuk mengonfigurasi integrasi:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Instance | String | T/A | Tidak | Nama Instance yang ingin Anda konfigurasi integrasinya. |
| Deskripsi | String | T/A | Tidak | Deskripsi Instance. |
| Root API | String | https://{address}:{port} | Ya | Root API server Vectra. |
| Token API | Sandi | T/A | Ya | Token API akun Vectra. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Vectra valid. |
| Menjalankan dari Jarak Jauh | Kotak centang | Tidak dicentang | Tidak | Centang kolom untuk menjalankan integrasi yang dikonfigurasi dari jarak jauh. Setelah dicentang, opsi akan muncul untuk memilih pengguna jarak jauh (agen). |
Tindakan
Ping
Deskripsi
Uji konektivitas ke Vectra dengan parameter yang diberikan di halaman konfigurasi integrasi di tab Google Security Operations Marketplace.
Run On
Tindakan tidak dijalankan pada entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil: Cetak "Successfully connected to the Vectra server with the provided connection parameters!" Tindakan harus gagal dan menghentikan eksekusi playbook: Mencetak "Gagal terhubung ke server Vectra! Error adalah {0}".format(exception.stacktrace) |
Umum |
Endpoint Memperkaya
Deskripsi
Mengambil informasi sistem endpoint berdasarkan nama host atau alamat IP-nya.
Run On
Tindakan ini berjalan di entity berikut:
- Alamat IP
- Hostname
Hasil Tindakan
Pengayaan Entity
| Nama Kolom Pengayaan | Sumber (Kunci JSON) | Logika - Kapan harus diterapkan |
|---|---|---|
| Vectra_id | hasil/ID | Jika tersedia dalam JSON |
| Vectra_name | hasil/nama | Jika tersedia dalam JSON |
| Vectra_state | hasil/negara bagian | Jika tersedia dalam JSON |
| Vectra_threat | hasil/ancaman | Jika tersedia dalam JSON |
| Vectra_certainty | hasil/kepastian | Jika tersedia dalam JSON |
| Vectra_ip | results/last_source | Jika tersedia dalam JSON |
| Vectra_tags | {results/tags} yang dipisahkan dengan spasi | Jika tersedia dalam JSON |
| Vectra_note | hasil/catatan | Jika tersedia dalam JSON |
| Vectra_url | results/url | Jika tersedia dalam JSON |
| Vectra_last_modified | results/last_modified | Jika tersedia dalam JSON |
| Vectra_groups | {results/groups} yang dipisahkan dengan spasi | Jika tersedia dalam JSON |
| Vectra_is_key_asset | results/is_key_asset | Jika tersedia dalam JSON |
| Vectra_has_active_traffic | results/has_active_traffic | Jika tersedia dalam JSON |
| Vectra_is_targeting_key_asset | results/is_targeting_key_asset | Jika tersedia dalam JSON |
| Vectra_privilege_level | results/privilege_level | Jika tersedia dalam JSON |
| Vectra_previous_ip | {results/previous_ips} yang dipisahkan dengan spasi | Jika tersedia dalam JSON |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"id": 131,
"name": "DESKTOP-DAIOS7J",
"active_traffic": false,
"has_active_traffic": false,
"t_score": 0,
"threat": 0,
"c_score": 0,
"certainty": 0,
"severity": null,
"last_source": "10.0.2.68",
"ip": "10.0.2.68",
"previous_ips": [],
"last_detection_timestamp": "2019-10-08T17:13:57Z",
"key_asset": false,
"is_key_asset": false,
"state": "inactive",
"targets_key_asset": false,
"is_targeting_key_asset": false,
"detection_set": [],
"host_artifact_set": [
{
"type": "netbios",
"value": "DESKTOP-DAIOS7J",
"source": null,
"siem": false
}
],
"sensor": "YLq09aHU",
"sensor_name": "Vectra X",
"tags": [],
"note": null,
"note_modified_by": null,
"note_modified_timestamp": null,
"url": "https://70.54.200.216:64443/api/v2.1/hosts/131",
"host_url": "https://70.54.200.216:64443/api/v2.1/hosts/131",
"last_modified": "2020-02-12T13:41:51Z",
"assigned_to": null,
"assigned_date": null,
"groups": [],
"has_custom_model": false,
"privilege_level": null,
"privilege_category": null,
"probable_owner": null,
"detection_profile": null,
"host_session_luids": [],
"host_luid": "e0M-jygN"
}
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya salah satu entitas yang diberikan telah di-enrich (is_success = true): Mencetak "Successfully enriched the following endpoints from Vectra: \n {0}".format(entity.identifier list) Jika tindakan menemukan beberapa kecocokan di Vectra untuk beberapa entitas Google SecOps, kecocokan pertama akan diambil untuk memperkaya endpoint: Mencetak "Multiple matches were found in Vectra, taking first match for the following entities:/n {0}".format(entity.identifiers list) Jika saya gagal memperkaya entitas tertentu(is_success = true): Mencetak "No entities were enriched". Tindakan harus gagal dan menghentikan eksekusi playbook: Mencetak "Error saat menjalankan tindakan "Enrich Endpoint". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Tambahkan Tag
Deskripsi
Tambahkan tag ke endpoint atau deteksi di Vectra.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Mengisi | Deskripsi |
|---|---|---|---|---|
| Jenis Item | Dropdown | Endpoint Nilai yang mungkin: Deteksi |
Ya | Pilih jenis item yang ingin Anda tambahi tag. |
| ID item | String | T/A | Ya | Tentukan ID deteksi/endpoint. |
| Tag | CSV | T/A | Ya | Tentukan tag yang ingin Anda tambahkan ke deteksi/endpoint. Tag harus dipisahkan dengan koma, misalnya: tag1, tag2. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika deteksi/endpoint ditemukan dan tag berhasil diperbarui (is_success = true): Mencetak "Successfully added tags {0} to {1} with ID {2}.format(tags, Item Type, Item ID) Jika deteksi/endpoint ditemukan, tetapi tag tidak ditambahkan (is_success=False): Mencetak "Tindakan tidak dapat menambahkan tag {0} ke {1} dengan ID {2}. Alasan: {3}. format(tag, Jenis Item, ID Item, parameter tag dari respons)". Jika deteksi/endpoint tidak ditemukan (is_success=False): Cetak "{0} dengan ID {1} tidak ditemukan.format(Item Type, Item ID)." II is_success=false tanpa situasi tertentu dan bukan merupakan error kritis: Mencetak "Action wasn't able to add tags to {0} with ID {1}.format(Item Type, Item ID)": Tindakan harus gagal dan menghentikan eksekusi playbook: Mencetak "Error saat menjalankan tindakan "Tambahkan Tag". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Menghapus Tag
Deskripsi
Menghapus tag dari endpoint atau deteksi di Vectra.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Jenis Item | Dropdown | Endpoint Nilai yang mungkin: Deteksi |
Ya | Pilih jenis item yang ingin Anda hapus tagnya. |
| ID item | String | T/A | Ya | Tentukan ID deteksi/endpoint. |
| Tag | CSV | T/A | Ya | Tentukan tag yang ingin Anda hapus dari deteksi/endpoint. Tag harus dipisahkan dengan koma, misalnya: tag1, tag2. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika deteksi/endpoint ditemukan dan tag berhasil diperbarui (is_success = true): Mencetak "Successfully removed tags {0} from {1} with ID {2}.format(tags, Item Type, Item ID) Jika deteksi/endpoint tidak ditemukan (is_success=False): Mencetak "{0} dengan ID {1} tidak ditemukan.".format(Item Type, Item ID)." Jika deteksi/endpoint ditemukan, tetapi tag tidak ditemukan (is_success=False): Mencetak "Tag {0} tidak ada di {1} dengan ID {2}.".format(daftar tag yang tidak ditemukan yang dipisahkan dengan koma, Jenis Item, ID Item)." Jika is_success=false tanpa situasi tertentu dan bukan error kritis: Mencetak "Action wasn't able to remove tags from {0} with ID {1}.format(Item Type, Item ID)": Tindakan harus gagal dan menghentikan eksekusi playbook: Mencetak "Error saat menjalankan tindakan "Hapus Tag". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Mengupdate Note
Deskripsi
Perbarui catatan untuk endpoint atau deteksi.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib Mengisi | Deskripsi |
|---|---|---|---|---|
| Jenis Item | Dropdown | Endpoint Nilai yang mungkin: Deteksi |
Ya | Pilih jenis item yang ingin Anda perbarui catatannya. |
| ID item | String | T/A | Ya | Tentukan ID deteksi/endpoint. |
| Catatan | String | T/A | Ya | Tentukan catatan yang ingin Anda sertakan pada deteksi/endpoint. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika deteksi/endpoint ditemukan dan catatan berhasil diperbarui (is_success = true): Mencetak "Successfully updated note on {1} with ID {2}.format(Item Type, Item ID) Jika deteksi/endpoint tidak ditemukan (is_success=False): Mencetak "{0} dengan ID {1} tidak ditemukan.".format(Item Type, Item ID)." Jika is_success=false tanpa situasi tertentu dan bukan error kritis: Mencetak "Tindakan tidak dapat memperbarui catatan di {0} dengan ID {1}.format(Item Type, Item ID)": Tindakan harus gagal dan menghentikan eksekusi playbook: Mencetak "Error saat menjalankan tindakan "Perbarui Catatan". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Memperbarui Status Deteksi
Deskripsi
Memperbarui status deteksi.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Deteksi | Bilangan bulat | T/A | Ya | Tentukan ID deteksi yang statusnya ingin Anda perbarui. |
| Status | DDL | Diperbaiki Nilai yang Mungkin: Tetap Aktif |
Ya | Tentukan status yang akan ditetapkan pada deteksi. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output\* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika deteksi ditemukan dan status berhasil diperbarui (is_success = true): Cetak "Successfully updated status to '{0}' on detection with ID {1}.format(Status, Detection ID)
Jika deteksi tidak ditemukan (is_success=False): Cetak "Deteksi dengan ID {1} tidak ditemukan.".format(ID Deteksi)." Jika is_success=false tanpa situasi tertentu dan bukan error kritis: Mencetak "Action wasn't able to update status on detection with ID {1}.format(detection ID)": Tindakan harus gagal dan menghentikan eksekusi playbook: Mencetak "Error saat menjalankan tindakan "Perbarui Status Deteksi". Alasan: {0}''.format(error.Stacktrace) |
Umum |
Mendapatkan Detail Aturan Triase
Deskripsi
Mendapatkan informasi mendetail tentang aturan triase.
Parameter
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| ID Aturan Triase | Bilangan bulat | T/A | Ya | Tentukan daftar ID aturan triase yang dipisahkan koma. Contoh: 28,29 |
| Membuat Insight | Kotak centang | Benar | Ya | Jika diaktifkan, tindakan akan membuat insight terpisah untuk setiap aturan triase yang diproses. |
Run On
Tindakan ini tidak dijalankan di entity.
Hasil Tindakan
Insight
| Judul Insight | Deskripsi Insight |
|---|---|
| "Triage Rule {0}".format(triage_rule) | "Detection Category: {0}\n Triage Category: {1}\n Detection: {2} \n Description: {3}".format(detection_category, triage_category, detection, description) |
Hasil Skrip
| Nama Hasil Skrip | Opsi Nilai | Contoh |
|---|---|---|
| is_success | Benar/Salah | is_success:False |
Hasil JSON
{
"id": 28,
"url": "https://api.demo.vectranetworks.com/api/v2.1/rules/28",
"description": "whatever",
"enabled": true,
"created_timestamp": "2020-10-01T17:21:19Z",
"last_timestamp": "2020-10-01T17:21:19Z",
"is_whitelist": false,
"priority": 1,
"active_detections": 1,
"total_detections": 1,
"template": false,
"additional_conditions": {
"OR": [
{
"AND": [
{
"ANY_OF": {
"field": "remote1_ip",
"values": [
{
"url": null,
"value": "35.166.75.118",
"label": "35.166.75.118"
}
],
"groups": [],
"label": "C&C Server IP"
}
}
]
}
]
},
"source_conditions": {
"OR": [
{
"AND": [
{
"ANY_OF": {
"field": "host",
"values": [
{
"url": "https://api.demo.vectranetworks.com/api/v2.1/hosts/142",
"value": 142,
"label": "IP-10.10.100.10"
}
],
"groups": [],
"label": "Host"
}
}
]
}
]
},
"detection_category": "COMMAND & CONTROL",
"triage_category": "triage rule 1",
"detection": "Hidden HTTPS Tunnel"
Repositori Kasus
| Jenis Hasil | Nilai / Deskripsi | Jenis |
|---|---|---|
| Pesan output* | Tindakan tidak boleh gagal atau menghentikan eksekusi playbook: Jika berhasil dan setidaknya salah satu ID aturan yang diberikan telah di-enrich (is_success = true): Mencetak "Successfully retrieved information about the following triage rules from Vectra: \n {0}".format(processed rule ids) Jika gagal memperkaya entitas tertentu(is_success = true): Mencetak "Action was not able to retrieve information about the following triage rules\n: {0}".format(not processed rule ids) Jika gagal memperkaya semua entitas (is_success = false): Mencetak "No information was retrieved about the triage rules". Tindakan harus gagal dan menghentikan eksekusi playbook: Mencetak "Error saat menjalankan tindakan "Get Triage Rule Details". Alasan: {0}''.format(error.Stacktrace) |
Umum |
| Tabel Repositori Kasus | Nama Tabel: Detail Aturan Triase Kolom Tabel: ID (dipetakan sebagai id) Diaktifkan (dipetakan sebagai diaktifkan) Kategori Deteksi (dipetakan sebagai detection_category) Kategori Triase (dipetakan sebagai triage_category) Deteksi (dipetakan sebagai deteksi) Daftar putih (dipetakan sebagai is_whitelist) Prioritas (dipetakan sebagai prioritas) Dibuat Pada (dipetakan sebagai created_timestamp) |
Umum |
Konektor
Vectra - Detections Connector
Mengonfigurasi Konektor Deteksi - Vectra di Google SecOps
Untuk mendapatkan petunjuk mendetail tentang cara mengonfigurasi konektor di Google SecOps, lihat Mengonfigurasi konektor.
Parameter konektor
Gunakan parameter berikut untuk mengonfigurasi konektor:
| Nama Tampilan Parameter | Jenis | Nilai Default | Wajib | Deskripsi |
|---|---|---|---|---|
| Nama Kolom Produk | String | Nama Produk | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Produk. |
| Nama Kolom Peristiwa | String | eventType | Ya | Masukkan nama kolom sumber untuk mengambil nama Kolom Peristiwa. |
Nama Kolom Lingkungan |
String | "" | Tidak | Mendeskripsikan nama kolom tempat nama lingkungan disimpan. Jika kolom lingkungan tidak ditemukan, lingkungan yang digunakan adalah lingkungan default. |
Pola Regex Lingkungan |
String | .* | Tidak | Pola regex untuk dijalankan pada nilai yang ditemukan di kolom "Nama Kolom Lingkungan". Defaultnya adalah .* untuk mencakup semua dan menampilkan nilai tanpa perubahan. Digunakan untuk mengizinkan pengguna memanipulasi kolom lingkungan melalui logika regex. Jika pola regex adalah null atau kosong, atau nilai lingkungan adalah null, hasil lingkungan akhir adalah lingkungan default. |
| Waktu Tunggu Skrip (Detik) | Bilangan bulat | 180 | Ya | Batas waktu untuk proses python yang menjalankan skrip saat ini. |
| Root API | String | https://x.x.x.x:x:x | Ya | Root API server Vectra. |
| Token API | Sandi | T/A | Ya | Token API akun Vectra. |
| Skor Ancaman Terendah yang Akan Diambil | Bilangan bulat | 50 | Ya | Skor ancaman terendah yang akan digunakan untuk mengambil deteksi. Min: 0 Maks: 100 |
| Skor Kepastian Terendah yang Akan Diambil | Bilangan bulat | 0 | Tidak | Skor kepastian terendah yang akan digunakan untuk mengambil deteksi. Min: 0 Maks: 100 |
| Filter Kategori | Nilai yang dipisahkan koma | Perintah dan Kontrol,Botnet ,Pengintaian,Pergerakan Lateral,Pemindahan Data yang Tidak Sah,Info | Tentukan kategori deteksi yang akan diserap ke Google SecOps. Nilai yang memungkinkan: Perintah dan Kontrol Botnet Pengintaian Pergerakan Lateral Pemindahan yang tidak sah Info |
|
| Mengambil Mundur Jam Maksimum | Bilangan bulat | 1 | Tidak | Jumlah jam dari tempat pengambilan ancaman. |
| Jumlah Deteksi Maksimum yang Akan Diambil | Bilangan bulat | 25 | Tidak | Jumlah deteksi yang akan diproses per satu iterasi konektor. Batasnya adalah 5.000. Ini adalah batasan Vectra. |
| Menggunakan daftar yang diizinkan sebagai daftar blokir | Kotak centang | Tidak dicentang | Ya | Jika diaktifkan, daftar yang diizinkan akan digunakan sebagai daftar yang diblokir. |
| Verifikasi SSL | Kotak centang | Dicentang | Ya | Jika diaktifkan, verifikasi bahwa sertifikat SSL untuk koneksi ke server Vectra valid. |
| Alamat Server Proxy | String | T/A | Tidak | Alamat server proxy yang akan digunakan. |
| Nama Pengguna Proxy | String | T/A | Tidak | Nama pengguna proxy untuk melakukan autentikasi. |
| Sandi Proxy | Sandi | T/A | Tidak | Sandi proxy untuk mengautentikasi. |
Aturan konektor
Dukungan proxy
Konektor mendukung proxy.
Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.